4. člen
(upravljanje s tveganji)
(1)
Operater z uporabo dobrih industrijskih praks, priporočil Agencije Evropske unije za varnost omrežij in informacij (v nadaljnjem besedilu: ENISA) in mednarodnih standardov s področja informacijske varnosti, s tehničinimi sredstvi in z informacijami iz dostopnih virov vseskozi prepoznava, obravnava, ocenjuje in vrednoti potencialne grožnje, vključno s kibernetskimi in ranljivosti sredstev, informacijskih sistemov in programske opreme.
(2)
V okviru upravljanja s tveganji operater prepozna, opredeli in dokumentira:
(3)
Na podlagi prepoznanih sredstev, poslovnih procesov, informacij in podatkov iz prejšnjega odstavka operater izvede analizo obvladovanja tveganj in na njeni podlagi izvede oceno sprejemljive ravni tveganj ter uvede ustrezne ukrepe za preprečitev ali omilitev neželenih učinkov in zagotovi nenehno izboljševanje teh ukrepov.
(4)
Upravljanje tveganj je sestavni del informacijske varnostne politike in se upošteva tako pri implementaciji SUVI kot tudi pri tekočem poslovanju.